[resolu] analyse d'un rapport hijackthis (et bitdefender)

[leeuwridder]

Bonjour tout le monde,

 

je suis nouveau, enchanté d'avoir découvert ce site et ce forum... et j'ai un pc vérolé, si j'en crois les premiers symptômes !

 

J'ai déjà fait plusieurs nettoyages avec certains logiciels cités ici, mais je n'arrive pas à me débarrasser de certains virus (et je n'ose pas aller trop loin tout seul...). Voici ce que disent bitdefender et hijackthis :

 

//-----------------------------------------------------------------

//

// Product: BitDefender 9 Internet Security

// Version: 9.0

//

//-----------------------------------------------------------------

 

 

Statistiques

 

Chemin cible: C:\

Dossiers : 2071

Fichiers : 27837

Archives : 562

Fichiers empaquetés : 0

Virus trouvés : 2

Fichiers infectés : 4

Alertes : 0

Fichiers suspects : 1

Fichiers désinfectés : 0

Fichiers effacés : 0

Fichiers copiés : 1

Fichiers déplacés : 0

Fichiers renommés : 0

Erreurs I/O : 26

Temps d'analyse := 00:18:01

Fichiers/seconde :25

 

Définitions virus : 531632

Plugins d'analyse : 16

Plugins archives : 41

Plug-ins décompression : 6

Plug-ins messagerie : 6

Plug-ins système : 5

 

Options d'analyse

 

Détection

[X] Analyser le secteur de boot

[ ] Analyser les archives

[ ] Analyser les fichiers en paquets

[X] Analyser la messagerie

 

Masque fichiers

[ ] Programmes

[X] Tous les fichiers

[ ] Extensions définies par l'utilisateur:

[ ] Exclure les extensions: ;

 

Action

 

Objets infectés

[ ] Ignorer

[X] Désinfecter

[ ] Effacer

[ ] Copier

[ ] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

 

Seconde action

[ ] Ignorer

[ ] Effacer

[ ] Copier

[X] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

 

Options d'analyse

[X] Activer les alertes

[X] Activer l'heuristique

[ ] Afficher tous les fichiers dans le journal

[X] Fichier journal : C:\Program Files\Softwin\BitDefender9\Logs\vscan_1176441457.log

 

 

Sommaire :

 

C:\Documents and Settings\pumpum\Local Settings\Temporary Internet Files\Content.IE5\EF7ZV16U\c3[1] Détecté: Adware.Virtumonde.EU

C:\netmsn.exe Suspect avec: BehavesLike:Trojan.Downloader

C:\netmsn.exe Copié

C:\WINDOWS\system32\awtstqo.dll Infecté avec: DeepScan:Generic.Malware.SYddldg.89CA92C7

C:\WINDOWS\system32\awtstqo.dll Désinfection impossible

C:\WINDOWS\system32\sstts.exe Détecté: Adware.Virtumonde.EU

C:\WINDOWS\system32\urqomjk.dll Détecté: Adware.Virtumonde.EU

 

 

 

HIJACKTHIS

 

Logfile of HijackThis v1.99.1

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Program Files\HijackThis\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {C66B9090-CA67-4091-9520-48D1DA80D178} - C:\WINDOWS\system32\awtstqo.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O20 - Winlogon Notify: awtstqo - C:\WINDOWS\SYSTEM32\awtstqo.dll

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\p06s0aj7edo.dll (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Microsoft update Service - Unknown owner - C:\WINDOWS\System32\dllcache\msiupdate32.exe (file missing)

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

Merci d'avance de votre aide !

 

Vincent

Modifié le 15 mai 2007 par leeuwridder

[bruce lee]

Bonjour leeuwridder et bienvenue sur zebulon

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou ici: http://siri.geekstogo.com/SmitfraudFix.exe (de S!Ri) sur ton bureau

 

 

2/Double cliquer sur smitfraudfix.exe

 

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.

Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
  
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
  
• Coche Run this program as a task
  
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
  
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
  
• Lorsque le scan termine, clique sur le bouton Remove L2M
  
• Un message Done Scanning apparaîtra, clique OK.
  
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
  
• Ton PC va maintenant s'éteindre.
  
• Démarre ton PC normalement.
  
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau,dans ta prochaine réponse.
  

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

[leeuwridder]

Merci pour ta réponse rapide, Bruce Lee !

 

et enchanté de faire ta connaissance

 

J'ai téléchargé les logiciels que tu m'as cités et imprimé tes recommandations.

je ne suis pas sur mon pc pour le moment, mais ce soir, je fais la première manip et poste le premier rapport.

 

Encore merci

 

Vincent

[leeuwridder]

Me revoilà !

 

ok, j'ai lancé smitfraudfix et voilà le rapport :

 

SmitFraudFix v2.173

 

Rapport fait à 20:07:15,49, 02/05/2007

Executé à partir de C:\Documents and Settings\pumpum\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pumpum

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pumpum\Application Data

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\pumpum\Favoris

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="sockspy.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

voilà pour smitfraudfix.

dois-je continuer tout à la suite avec look2me-destroyer et vundofix ? ou un par un, en postant a chaque fois le resultat ?

[bruce lee]

Re,

 

dois-je continuer tout à la suite avec look2me-destroyer et vundofix ? ou un par un, en postant a chaque fois le resultat ?

 

Tu fais comme tu preferes

 

A la fin, refais un nouveau scan avec smitfraudfix option 1 et poste le rapport steplait.

 

@+

[leeuwridder]

Bonsoir,

 

 

C'était long, mais voilà les rapports :

dans l'ordre look2me, vundofix, hijackthis et, ouf, smitfraud :

 

 

 

 

Look2Me-Destroyer V1.0.12

 

Scanning for infected files.....

Scan started at 02/05/2007 20:36:06

 

Infected! C:\WINDOWS\system32\p06s0aj7edo.dll

 

Attempting to delete infected files...

 

Making registry repairs.

 

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reliability

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{004C6615-9DCB-456A-9099-B6A4DF88EA39}"

HKCR\Clsid\{004C6615-9DCB-456A-9099-B6A4DF88EA39}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B99DD2F3-E5C3-4E59-9C79-6803BADB7E7F}"

HKCR\Clsid\{B99DD2F3-E5C3-4E59-9C79-6803BADB7E7F}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{FDA7A4A8-4B86-4FD1-ACA4-B4D88A9DA4B9}"

HKCR\Clsid\{FDA7A4A8-4B86-4FD1-ACA4-B4D88A9DA4B9}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{1FDD9073-30FC-427B-ACF8-5D0DCE5ECF69}"

HKCR\Clsid\{1FDD9073-30FC-427B-ACF8-5D0DCE5ECF69}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{DA16E8C8-692E-462F-B01F-115474E7AF56}"

HKCR\Clsid\{DA16E8C8-692E-462F-B01F-115474E7AF56}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{61CA0376-3586-4BBA-80DD-7A22E288236B}"

HKCR\Clsid\{61CA0376-3586-4BBA-80DD-7A22E288236B}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6EB88D85-B6E7-4D2F-9D3E-8FD90C3A7112}"

HKCR\Clsid\{6EB88D85-B6E7-4D2F-9D3E-8FD90C3A7112}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3799097F-4198-4E25-BCB0-327083D1C596}"

HKCR\Clsid\{3799097F-4198-4E25-BCB0-327083D1C596}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{879E8F1B-CBC0-492F-A61B-6D7D0C475798}"

HKCR\Clsid\{879E8F1B-CBC0-492F-A61B-6D7D0C475798}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{7B490E69-F0AF-43EC-A592-FF4A0A529693}"

HKCR\Clsid\{7B490E69-F0AF-43EC-A592-FF4A0A529693}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{5E0DA622-5F68-4647-BE3D-2C80DA0F9455}"

HKCR\Clsid\{5E0DA622-5F68-4647-BE3D-2C80DA0F9455}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{8D7F509B-3AC6-4F17-A102-4B0D96CB4EBD}"

HKCR\Clsid\{8D7F509B-3AC6-4F17-A102-4B0D96CB4EBD}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{10D79044-A0A0-437C-84E6-C76A7B7C5807}"

HKCR\Clsid\{10D79044-A0A0-437C-84E6-C76A7B7C5807}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{0DE782CC-EFD8-48D4-AA4A-5261D62DE4F7}"

HKCR\Clsid\{0DE782CC-EFD8-48D4-AA4A-5261D62DE4F7}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C0010C63-A68F-4CAE-A22A-0C924F32FF1A}"

HKCR\Clsid\{C0010C63-A68F-4CAE-A22A-0C924F32FF1A}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A23677EB-997B-41FB-A1B1-9462341B9800}"

HKCR\Clsid\{A23677EB-997B-41FB-A1B1-9462341B9800}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3301BF65-53A4-4CDD-B857-764987627E57}"

HKCR\Clsid\{3301BF65-53A4-4CDD-B857-764987627E57}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BF039C5F-172D-4B45-BDEC-71849CEF2648}"

HKCR\Clsid\{BF039C5F-172D-4B45-BDEC-71849CEF2648}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{1965E466-3B70-4A8B-9949-6036BA4B37BA}"

HKCR\Clsid\{1965E466-3B70-4A8B-9949-6036BA4B37BA}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{59F03649-9987-4586-83E9-1642896C62CA}"

HKCR\Clsid\{59F03649-9987-4586-83E9-1642896C62CA}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{7C8EC8D0-7FCC-4CD5-9401-CF7D696127EF}"

HKCR\Clsid\{7C8EC8D0-7FCC-4CD5-9401-CF7D696127EF}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C7F3B4F5-F8D0-4E4E-BB34-A3A45FA0320D}"

HKCR\Clsid\{C7F3B4F5-F8D0-4E4E-BB34-A3A45FA0320D}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{46D1D7C9-047C-4BE2-814D-D0A7836A4D5D}"

HKCR\Clsid\{46D1D7C9-047C-4BE2-814D-D0A7836A4D5D}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6C982132-3AF1-4592-B837-075075D3E419}"

HKCR\Clsid\{6C982132-3AF1-4592-B837-075075D3E419}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{F9AB9331-03FD-4AFB-A1C9-50C38D369972}"

HKCR\Clsid\{F9AB9331-03FD-4AFB-A1C9-50C38D369972}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{57723E06-A83E-4404-AF88-AF7C86F94D6A}"

HKCR\Clsid\{57723E06-A83E-4404-AF88-AF7C86F94D6A}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{463D66A1-DC6B-4404-98C5-B61CB53839C1}"

HKCR\Clsid\{463D66A1-DC6B-4404-98C5-B61CB53839C1}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B7FBF8E5-6E6B-400F-BBC1-FD9C163D70E4}"

HKCR\Clsid\{B7FBF8E5-6E6B-400F-BBC1-FD9C163D70E4}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{3EC8168A-EC4A-47E6-9DBC-2376ECF3179E}"

HKCR\Clsid\{3EC8168A-EC4A-47E6-9DBC-2376ECF3179E}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{273DBAB6-ADA8-4058-BA60-22CBE4AB9124}"

HKCR\Clsid\{273DBAB6-ADA8-4058-BA60-22CBE4AB9124}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{62B6F841-DA53-4E5F-A21E-B95D6FAA66BC}"

HKCR\Clsid\{62B6F841-DA53-4E5F-A21E-B95D6FAA66BC}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{1A51DEAD-B0D6-4C0D-9B54-6704411A967A}"

HKCR\Clsid\{1A51DEAD-B0D6-4C0D-9B54-6704411A967A}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{97C023FD-9166-43AA-A621-824E6B3E9DFD}"

HKCR\Clsid\{97C023FD-9166-43AA-A621-824E6B3E9DFD}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{6F84CE1D-076A-434C-B658-A3F420A1409E}"

HKCR\Clsid\{6F84CE1D-076A-434C-B658-A3F420A1409E}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{434302EB-38DA-4D78-AA75-40CDFDC9B687}"

HKCR\Clsid\{434302EB-38DA-4D78-AA75-40CDFDC9B687}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{48B11357-100F-45D8-92A6-7A9515659061}"

HKCR\Clsid\{48B11357-100F-45D8-92A6-7A9515659061}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{86A9ED08-5A3E-4AD3-B07D-3A64B2A62A9D}"

HKCR\Clsid\{86A9ED08-5A3E-4AD3-B07D-3A64B2A62A9D}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{E0A951AA-4D59-4907-A68B-DA06FE7C199F}"

HKCR\Clsid\{E0A951AA-4D59-4907-A68B-DA06FE7C199F}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{8FD2212A-5201-4A64-A068-8A89DF87C9C0}"

HKCR\Clsid\{8FD2212A-5201-4A64-A068-8A89DF87C9C0}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{65532F39-187B-44E4-ABB9-5E1847EC1ACF}"

HKCR\Clsid\{65532F39-187B-44E4-ABB9-5E1847EC1ACF}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C31C4333-970A-4982-92C1-CD8267B90176}"

HKCR\Clsid\{C31C4333-970A-4982-92C1-CD8267B90176}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{986523BA-925D-4F40-ACA5-5FD8C49F8EE6}"

HKCR\Clsid\{986523BA-925D-4F40-ACA5-5FD8C49F8EE6}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B6D9401E-7C20-4B2B-8C58-BA62DB51B807}"

HKCR\Clsid\{B6D9401E-7C20-4B2B-8C58-BA62DB51B807}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A5CAAAAD-E16D-4989-8E1D-19C1BE11B2BA}"

HKCR\Clsid\{A5CAAAAD-E16D-4989-8E1D-19C1BE11B2BA}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{14C8D496-E906-46D6-969A-0AB90AC66037}"

HKCR\Clsid\{14C8D496-E906-46D6-969A-0AB90AC66037}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{26C4EA8F-FB37-49E0-8748-4DB6891EA61A}"

HKCR\Clsid\{26C4EA8F-FB37-49E0-8748-4DB6891EA61A}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{BF07B80E-C8F2-49D0-B4E0-2FBC39ECA46A}"

HKCR\Clsid\{BF07B80E-C8F2-49D0-B4E0-2FBC39ECA46A}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{7621A1F3-8D59-4DAA-A2BE-B62258AA5538}"

HKCR\Clsid\{7621A1F3-8D59-4DAA-A2BE-B62258AA5538}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{EF4E5F09-1A95-49CD-AC8C-8BCFF63BC61B}"

HKCR\Clsid\{EF4E5F09-1A95-49CD-AC8C-8BCFF63BC61B}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{8F07BEC9-C28A-4E7E-85A1-FDE77D699A51}"

HKCR\Clsid\{8F07BEC9-C28A-4E7E-85A1-FDE77D699A51}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A4CABD07-B927-491D-8331-8D2142AD1A9C}"

HKCR\Clsid\{A4CABD07-B927-491D-8331-8D2142AD1A9C}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{ED48E5EC-A051-41CC-A9AD-83F009AA5394}"

HKCR\Clsid\{ED48E5EC-A051-41CC-A9AD-83F009AA5394}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{4486019A-3108-4A4C-B957-F4D42E147014}"

HKCR\Clsid\{4486019A-3108-4A4C-B957-F4D42E147014}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{D1C8D268-3E9D-4529-B12F-64B9641A23BA}"

HKCR\Clsid\{D1C8D268-3E9D-4529-B12F-64B9641A23BA}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{2802824A-1C6B-4DC9-960E-AE7B1111D034}"

HKCR\Clsid\{2802824A-1C6B-4DC9-960E-AE7B1111D034}

 

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{63A42A4D-E04F-45B9-A53E-8D9A53D9B97E}"

HKCR\Clsid\{63A42A4D-E04F-45B9-A53E-8D9A53D9B97E}

 

Restoring Windows certificates.

 

Replaced hosts file with default windows hosts file

 

Restoring SeDebugPrivilege for Administrateurs - Succeeded

 

 

 

 

 

 

 

 

VundoFix V6.3.19

 

Checking Java version...

 

Java version is 1.5.0.11

 

Scan started at 20:46:35 02/05/2007

 

Listing files found while scanning....

 

No infected files were found.

 

Beginning removal...

 

 

 

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 21:57:26, on 02/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Program Files\HijackThis\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {C66B9090-CA67-4091-9520-48D1DA80D178} - C:\WINDOWS\system32\awtstqo.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll

O20 - Winlogon Notify: awtstqo - C:\WINDOWS\SYSTEM32\awtstqo.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Microsoft update Service - Unknown owner - C:\WINDOWS\System32\dllcache\msiupdate32.exe (file missing)

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

 

 

 

 

 

 

SmitFraudFix v2.173

 

Rapport fait à 22:00:08,46, 02/05/2007

Executé à partir de C:\Documents and Settings\pumpum\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pumpum

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pumpum\Application Data

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\pumpum\Favoris

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="sockspy.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Hercules Wireless G PCMCIA - Miniport d'ordonnancement de paquets

DNS Server Search Order: 212.27.53.252

DNS Server Search Order: 212.27.54.252

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7F2D213B-A9D7-493E-BC62-E64D17081D53}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\..\{7F2D213B-A9D7-493E-BC62-E64D17081D53}: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

voilà, voilà

bon... une bonne nuit et à demain

 

Vincent

[bruce lee]

Re,

 

1. Télécharge combofix.exe (par sUBs)

 

http://www.techsupportforum.com/sectools/combofix.exe

 

sur ton Bureau.

 

2. Double clique combofix.exe et suis les invites.

3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

Modifié le 3 mai 2007 par bruce lee

[leeuwridder]

Bonjour

 

Ok merci, bruce lee. c'est téléchargé et je m'en occupe ce soir

 

encore merci

 

vincent

[bruce lee]

Re,

 

En plus, fais ceci steplait :

 

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

 

recherche (demarrer/rechercher) :

 

tcpipmon.exe

 

Dis moi si tu trouves le fichier.

 

@+

[leeuwridder]

Bonjour Bruce Lee,

 

hier soir, je n'ai pas pu faire la manip, mais je l'ai faite ce matin.

voilà le résultat : d'une part pas de tcpipmon.exe à l'horizon...

d'autre part le rapport de combofix :

 

"pumpum" - 07-05-04 7:01:21 Service Pack 2

ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\pumpum\Bureau\"

 

 

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\nwnmff_e40.exe

C:\Program Files\install.log

C:\WINDOWS\system32\test.dll

 

 

((((((((((((((((((((((((((((((( Files Created from 2007-04-04 to 2007-05-04 ))))))))))))))))))))))))))))))))))

 

 

2007-05-02 20:46 <REP> d-------- C:\VundoFix Backups

2007-05-02 20:07 3,212 --a------ C:\WINDOWS\system32\tmp.reg

2007-04-16 22:41 31,828 --a------ C:\WINDOWS\system32\jkhef.exe

2007-04-12 06:54 31,844 ---hs---- C:\WINDOWS\system32\sstts.exe

2007-04-12 06:54 26,685 --a------ C:\WINDOWS\system32\urqomjk.dll

2007-04-07 14:05 <REP> d-------- C:\Program Files\SafeXP

2007-04-07 13:21 <REP> d-------- C:\Program Files\xp-AntiSpy

2007-04-07 09:05 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-04-06 19:34 <REP> d-------- C:\Program Files\CCleaner

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2007-05-04 07:05 81984 --a------ C:\WINDOWS\system32\bdod.bin

2007-05-04 06:49 -------- d-------- C:\Program Files\mozilla thunderbird

2007-05-02 22:06 15 --a------ C:\WINDOWS\system32\getfile.dat

2007-04-07 13:52 -------- d-------- C:\Program Files\messenger

2007-04-01 09:46 -------- d--h----- C:\Program Files\installshield installation information

2007-03-25 10:57 49054 --a------ C:\WINDOWS\system32\perfc00c.dat

2007-03-25 10:57 368314 --a------ C:\WINDOWS\system32\perfh00c.dat

2007-03-18 21:56 -------- d-------- C:\Program Files\hercules

2007-03-18 20:12 73728 --a------ C:\WINDOWS\system32\sockspy.dll

2007-03-18 20:12 64512 --a------ C:\WINDOWS\system32\drivers\bdfndisf.sys

2007-03-18 20:11 77824 --a------ C:\WINDOWS\system32\xcomm.dll

2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll

2007-03-17 15:33 -------- d-------- C:\Program Files\windows nt

2007-03-17 15:33 -------- d-------- C:\Program Files\movie maker

2007-03-17 15:02 99840 --a------ C:\WINDOWS\uninstallfirefox.exe

2007-03-17 15:02 107008 --a------ C:\WINDOWS\uninstallthunderbird.exe

2007-03-17 14:48 308224 --a------ C:\WINDOWS\isun040c.exe

2007-03-17 14:34 -------- d-------- C:\Program Files\services en ligne

2007-03-17 14:32 -------- d-------- C:\Program Files\microsoft works

2007-03-08 17:37 578560 --a------ C:\WINDOWS\system32\user32.dll

2007-03-08 17:37 40960 --a------ C:\WINDOWS\system32\mf3216.dll

2007-03-08 17:37 281600 --a------ C:\WINDOWS\system32\gdi32.dll

2007-03-08 17:33 1843712 --a------ C:\WINDOWS\system32\win32k.sys

2007-03-04 12:07 6223 --a------ C:\WINDOWS\mozver.dat

2007-02-24 17:14 78848 --a------ C:\WINDOWS\system32\msiexec.exe

2007-02-17 12:54 31232 --a------ C:\WINDOWS\system32\sc.exe

2007-02-17 11:54 96768 --a------ C:\WINDOWS\system32\logagent.exe

2007-02-17 11:38 93184 -r------- C:\WINDOWS\view32.exe

2007-02-17 11:38 2058752 --a------ C:\WINDOWS\qt32inst.exe

2007-02-17 11:38 169472 --a------ C:\WINDOWS\qtw32del.exe

2007-02-17 11:38 107008 --a------ C:\WINDOWS\play32.exe

2007-02-11 12:55 397312 --------- C:\netmsn.exe

2007-02-11 12:49 163840 --a------ C:\WINDOWS\bjpsunst.exe

2007-02-11 12:49 155648 --a------ C:\WINDOWS\system32\nerocheck.exe

2007-02-11 12:49 139264 --a------ C:\WINDOWS\system32\sndvol32.exe

2007-02-05 22:19 185344 --a------ C:\WINDOWS\system32\upnphost.dll

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

{53707962-6F74-2D53-2644-206D7942484F} C:\PROGRA~1\SPYBOT~1\SDHelper.dll

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

{C66B9090-CA67-4091-9520-48D1DA80D178} C:\WINDOWS\system32\awtstqo.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"WorksFUD"="C:\\Program Files\\Microsoft Works\\wkfud.exe"

"Microsoft Works Portfolio"="C:\\Program Files\\Microsoft Works\\WksSb.exe /AllUsers"

"Microsoft Works Update Detection"="C:\\Program Files\\Fichiers communs\\Microsoft Shared\\Works Shared\\WkUFind.exe"

"Local Security Authority Service"="C:\\WINDOWS\\system32\\Isass.exe"

"Microsoft ® Windows Update Manager"="C:\\WINDOWS\\update\\updmgr.exe"

"Easy-PrintToolBox"="C:\\Program Files\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"

"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"BDSwitchAgent"="\"C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdswitch.exe\""

"tcpipmon"="tcpipmon.exe"

"BDMCon"="C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe"

"BDOESRV"="\"C:\\Program Files\\Softwin\\BitDefender9\\bdoesrv.exe\""

"BDNewsAgent"="\"C:\\PROGRA~1\\Softwin\\BITDEF~1\\bdnagent.exe\""

"Update"="C:\\Program Files\\AntiVir PersonalEdition Classic\\preupd.exe /CALLSCHEDULER /DM=\"0\" /CALLSCHEDULER"

"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"

"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoRecentDocsMenu"=dword:00000001

"NoFavoritesMenu"=dword:00000000

"NoSMMyDocs"=dword:00000000

"NoSMMyPictures"=dword:00000001

"NoStartMenuMyMusic"=dword:00000001

"NoRecentDocsHistory"=dword:00000001

"NoRecentDocsNetHood"=dword:00000000

"NoSMHelp"=dword:00000000

"NoRun"=dword:00000000

"NoInstrumentation"=dword:00000000

"NoSimpleStartMenu"=dword:00000000

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoWindowsUpdate"=dword:00000000

"NoRecentDocsMenu"=dword:00000001

"NoFavoritesMenu"=dword:00000000

"NoSMMyDocs"=dword:00000000

"NoSMMyPictures"=dword:00000001

"NoStartMenuMyMusic"=dword:00000001

"NoRecentDocsHistory"=dword:00000001

"ClearRecentDocsOnExit"=dword:00000001

"NoRecentDocsNetHood"=dword:00000000

"NoSMHelp"=dword:00000000

"NoRun"=dword:00000000

"NoUserNameInStartMenu"=dword:00000001

"NoInstrumentation"=dword:00000000

"NoStartMenuPinnedList"=dword:00000000

"ForceStartMenuLogoff"=dword:00000000

"NoSharedDocuments"=dword:00000001

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

"{C66B9090-CA67-4091-9520-48D1DA80D178}"=""

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtstqo

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"appinit_dlls"="sockspy.dll"

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Authentication Packages REG_MULTI_SZ msv1_0\

Security Packages REG_MULTI_SZ kerberosmsv1_0schannelwdigest\

Notification Packages REG_MULTI_SZ scecli\

 

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]

LocalService REG_MULTI_SZ AlerterWebClientLmHostsRemoteRegistryupnphostSSDPSRV\

NetworkService REG_MULTI_SZ DnsCache\

rpcss REG_MULTI_SZ RpcSs\

imgsvc REG_MULTI_SZ StiSvc\

termsvcs REG_MULTI_SZ TermService\

HTTPFilter REG_MULTI_SZ HTTPFilter\

DcomLaunch REG_MULTI_SZ DcomLaunchTermService\

 

 

********************************************************************

 

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-05-04 07:09:49

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

********************************************************************

 

Completion time: 07-05-04 7:09:53

C:\ComboFix-quarantined-files.txt ... 07-05-04 07:09

 

 

 

 

 

et le fichier quarantaine :

 

 

 

 

 

01-09-17 16:29	  77824	--a------	C:\Qoobox\Quarantine\C\WINDOWS\system32\test.dll.vir
07-02-17 11:39	  364544	--a------	C:\Qoobox\Quarantine\C\nwnmff_e40.exe.vir
07-03-18 20:14	  1725	--a------	C:\Qoobox\Quarantine\C\Program Files\INSTALL.LOG.vir


Structure du dossier
Le num‚ro de s‚rie du volume est 64D3-7DBE
C:\QOOBOX
\---Quarantine
+---C
|   |   nwnmff_e40.exe.vir
|   |   
|   +---Program Files
|   |	   INSTALL.LOG.vir
|   |	   
|   \---WINDOWS
|	   \---system32
|			   test.dll.vir
|			   
\---Registry_backups

 

 

 

et j'ai aussi maintenant des alertes bitdefender comme quoi j'ai le fichier c:/netmsn.exe infecté par Trojan.Dollarrevenue.I ! pourtant je ne vais pas dans les sales quartiers avec mon ordi !!!

 

à +